M317: 外部からの OAuth2 認可アクセスや Basic 認証アクセスを制御する

Avatar
Hirotaka NISHI
  • 更新
フォローする
 

Questetra では、ワークフローを自動開始させることができる[Message Catch Event API]やユーザリソース・ワークリソース等を管理できる API が提供されています。OAuth2 認可や Basic 認証を活用したアプリケーションを利用できる様にするには、[システム管理権限]をもつユーザが当該アプリケーションをシステム登録する必要があります。

M317-1.png

1. OAuth2 認可や Basic 認証を活用した外部アプリ開発について、概要を理解する

a. Workflow API
新規案件を登録したり引受済みの案件を処理したりするアプリを開発するための API
b. System Settings API
ユーザの新規追加や所属組織の変更等を行うアプリを開発するための API
  • 現時点において、Questetra がレスポンスする API 通信は "OAuth 2.0" もしくは "Basic 認証" になります
  • API レスポンスの内容はユーザアカウントにより異なります (例:[マイタスク] の一覧)
  • OAuth 通信は、外部アプリ自身にパスワード情報を渡す必要がない仕組みです
  • Basic 認証通信(RFC2617)は、外部アプリ自身に "ID:Password" 情報を渡す必要がある仕組みです

2. 外部アプリを入手する

a. オリジナルアプリを自社開発する
API マニュアルを参照してオリジナルのアプリを開発します
b. サードパーティアプリを取得する
信頼できる開発元からアプリをダウンロードします

R3172: Workflow API (for Quick Demo Platform)
R3173: System Settings API (for Quick Demo Platform)
R3175: 応答エラーリスト (Workflow API & System Settings API)

  • Android アプリ、iOS アプリ、ブラウザ拡張機能、システムバッチなど、様々なアプリを開発できます
  • 特定業務の発生検知するアプリ、ユーザ所属変更といった管理アプリなど、様々なアプリを開発できます
  • Questetra は Basic 認証を要する旨のエラーコード(401)はレスポンスしません (www-authenticate ヘッダ)
  • Basic 認証通信のためのパスワードは各ユーザの [アカウント設定] にある [API パスワード] を利用します
  • ご利用のワークフロー基盤 (Questetra) にログイン後、サイドメニュー[APIマニュアル]から、Workflow API / System Settings API のマニュアル参照やテスト実行が可能です。

3. 外部アプリを利用できる様にする

a. OAuth アプリを登録する
登録アプリからの API リクエストに対してレスポンスするようになります
b. Basic 認証通信を有効化する
Basic 認証での API リクエストに対してレスポンスするようになります

システム設定 – API クライアント

  • Basic 認証用のパスワードは通常のパスワードとは異なります
    •  [アカウント設定]>[パスワード]>[APIパスワード]
    • 無認証でアクセスした場合、Basic認証が必要である旨のサーバレスポンス(WWW-Authenticate ヘッダ)は返しません
  • OAuth アプリ(OAuth2 Client)の場合、外部アプリ名とリダイレクトURLを登録して、ClientIDを発行します
    • 外部アプリ側の設定において Scope 設定は "any" もしくは "read" を指定してください
    • "Authorization Endpoint URL": "https://{YOUR-DOMAIN}.questetra.net/oauth2/authorize"
    • "Token Endpoint URL": "https://{YOUR-DOMAIN}.questetra.net/oauth2/token"
    • なお、Grant Type は Authorization Code のみサポートされ Access Token は12時間、Refresh Token は30日間有効です

4. 外部アプリを監視し、必要に応じて停止する

a. OAuth アプリを無効化する
OAuth アプリへの接続を無効化し、Questetra との通信を不許可にします
b. OAuth アプリを削除する
OAuth アプリとしての登録を削除し、Questetra との通信を不許可にします
c. Basic 認証通信を禁止する
全ての Basic 認証通信を不許可にします
  • OAuth 通信は、アプリレベルで制限することができます
  • Basic 認証通信は、アプリレベルでの監視や制限ができません (パスワード定期変更等の工夫が必要)
  • Basic 認証通信で利用された ID 情報は [システムログ] に記録されます (M313)

このセクションの記事

もっと見る

コメント

0件のコメント

サインインしてコメントを残してください。

関連記事